29 de julio de 2015

ESPAÑA. Fábrica Nacional Moneda y Timbre recomienda actualizar certificados digitales

En las últimas horas la Fábrica Nacional de Moneda y Timbre ha estado enviando a los usuarios de su base de datos un correo electrónico donde informa de que desde marzo ha estado emitiendo certificados de seguridad adaptados a la nueva normativa de seguridad e indica a los usuarios que deben actualizarlo lo antes posible para evitar que este pueda verse comprometido.
Los usuarios que ya tengan un certificado emitido por la nueva Autoridad de Certificación (AC), es decir, todos aquellos que lo han obtenido o actualizado a partir del 1 de marzo no tendrán que hacer nada por protegerlo. La Fábrica Nacional de Moneda y Timbre asegura que todos los certificados publicados hasta entones seguirán siendo válidos y funcionales hasta su fecha de caducidad, aunque recuerdan que es recomendable actualizarlo para evitar que terceras personas puedan deducirlo y hacer uso de él.
Si queremos actualizar nuestro certificado digital podemos pedir uno nuevo desde ( https://www.sede.fnmt.gob.es/certificados/persona-fisica) . Pero si somos usuarios de Google Chrome o Firefox deberemos utilizar Internet Explorer para esto.
Web Agencia Tributaria y FNMT utiliza certificados conexión segura incompatibles con Chrome y Firefox
  • Muchos usuarios que han intentado entrar a la web principal de la Agencia Tributaria o a los trámites de la FNMT y se han encontrado con que desde sus navegadores habituales la conexión es imposible ya que devuelve un error con el tipo de conexión segura utilizada.
  • Esto se debe a que los servidores de Hacienda utilizan una conexión insegura SSLv3 en vez de TLS. En las últimas versiones tanto de Google Chrome como de Firefox las conexiones SSLv3 han sido bloqueadas por defecto con el fin de que los usuarios utilicen sólo conexiones seguras y cifradas y animar a los desarrolladores a implementar los nuevos sistemas de cifrado más seguros que protegen mejor las conexiones de los usuarios.
  • Si queremos entrar en la web de Hacienda, tanto utilizando certificados digitales como con cualquier otro sistema de autenticación, debemos hacerlo con otro navegador (Internet Explorer, por ejemplo) que aún sea compatible con el protocolo SSLv3.
Fuente: Redeszone.net

ANDROID. Fallo de seguridad crítico enciende todas las alarmas

El 95% los usuarios de Android estarían afectados por el fallo, además sin realizar acción alguna para convertirse en víctimas y sufrir las consecuencias
Se ha descubierto el que posiblemente sea uno de los mayores fallos de seguridad del sistema operativo Android de Google, con el que funcionan la mayoría de las marcas de teléfonos inteligentes. Ese fallo puede permitir a piratas informáticos tomar el control de los aparatos con un mensaje de texto, según ha advirtido el lunes la empresa de seguridad informática Zimperium.
Detalle del fallo de seguridad
  • "Los atacantes no necesitan más que su número telefónico, y utilizándolo pueden ejecutar programas remotos a través de un archivo especialmente diseñado para ello y entregado por MMS", un mensaje de texto con contenido multimedia, como video, explica Zimperium en su blog.
  • La firma precisó que el mensaje utilizado para el ataque también puede ser destruido antes de que el dueño del smartphone lo lea, según hallazgos de uno de sus responsables de investigación de equipos, Joshua Drake.
  • El fallo está en una función llamada "Stagefright", que se descarga automáticamente los archivos de video adjuntos a los textos para evitar que los destinatarios tengan que esperar para verlos. Sin embargo, los piratas pueden ocultar los programas maliciosos en estos archivos de video, y serían activados incluso si el destinatario no lee el mensaje.
Según Zimperium, un 95% de celulares inteligentes operan con Android, es decir que cerca de 950 millones de aparatos están en riesgo. Sin embargo, al parecer los ciberpiratas no se han aprovechado de la falla todavía.
La empresa Zimperium aseguró haber informado a Google del problema y le proporcionó parches de seguridad para corregir el error, "pero lamentablemente esto es solo el inicio de lo que será un muy largo proceso de actualización", indicó.
Fuente: diariomontanes.es

27 de julio de 2015

HACKERS. Dos investigadores consiguen manipular un Jeep Chrysler a distancia

En el experimento lograron, entre otras cosas, girar el volante, bloquear los seguros y desactivar los frenos
Charlie Miller y Chris Valasek, que así se llaman los investigadores en temas de seguridad por cuenta del IOActive Labs, con solo la conexión a internet, han demostrado que el control a distancia de vehículos nuevos o inteligentes es posible hasta el extremo de conseguir girar el volante, bloquear los seguros o desactivar los frenos.
Detalle del hackeo al vehículo conectado
  • Los dos «hackers», que consiguieron convertirse en dueños y señores de un Jeep Cherokee de 2014 (y que aparentemente pueden replicar el experimento en otros vehículos de Fiat Chrysler), son Charlie Miller, ingeniero de seguridad de Twitter, y Chris Valasek, ingeniero de la consultora de seguridad IOActive.
  • El experimento comienza con ambos «hackers» conectados a una conexión inalámbrica a más de 15 kilómetros de la autopista por la que circulaba el conductor de Wired, que no sabía qué acciones tenían previstas los expertos en seguridad informática.
  • Primero, consiguen poner a toda potencia el aire acondicionado; posteriormente, cambian la emisora de la radio, elevan su volumen y activan los limpiaparabrisas; para, a continuación, desactivar la transmisión y el acelerador en plena marcha.
  • Para realizar todas estas acciones, los piratas informáticos no necesitan manipular físicamente el vehículo, solo una conexión de internet, una dirección IP y un software propio que se aprovecha de una vulnerabilidad en el sistema digital Uconnect del fabricante Fiat Chrysler.
  • En una demostración posterior llegan a controlar el volante del Jeep (algo que solo pueden hacer si el vehículo se mueve en reverso), bloquean las puertas e inhabilitan los frenos.
  • Además, el software que han creado les permite obtener información de geolocalización del vehículo y otros datos de telemetría.
Los «hackers» alertaron a Fiat Chrysler, que ya ha distribuido una actualización de su sistema UConnect, aunque ambos advierten que otros expertos informáticos pueden hallar modos de acceder a vehículos modernos, donde las funciones del motor, GPS y otros se canalizan a través de sistemas informáticos con conexión a internet.
Consecuencias del hackeo al vehículo conectado
  • Los dos investigadores estadounidenses , han obligado a Chrysler a llamar a revisión de 1,4 millones de sus vehículos equipados con las más recientes tecnologías de conectividad
  • Dos senadores estadounidense presentaron un proyecto de ley para establecer estándares públicos de seguridad en automóviles y camiones, algo en lo que comenzaron a trabajar cuando Miller y Valasek comenzaron a demostrar los primeros intentos exitosos de controlar automóviles a través de internet en 2013.
  • El FBI estadounidense presentó un informe en el que advertía del peligro de que estos coches pudieran convertirse en un instrumento para el secuestro de personas o en un arma letal, al poder ser conducidos a distancia, cargados de explosivos, para atentar.
El mes que viene durante la convención de seguridad Black Hat, en Las Vegas, Charlie Miller y Chris Valasek compartirán más detalles sobre su trabajo. Seguro que serán escuchados con sumo interés.
Fuente: Abc.es

Los emails de Clinton contenían información clasificada,

Al menos cuatro correos electrónicos de la cuenta personal de la ex secretaria de Estado de Estados Unidos Hillary Clinton durante su tiempo en el cargo contenían información clasificada, según una carta del inspector del Gobierno que ha intensificado la polémica por los correos electrónicos en medio de la campaña presidencial de Clinton para las elecciones de 2016.
El inspector general que supervisa los organismos de inteligencia de Estados Unidos escribió el jueves una carta al Congreso que decía que tras el análisis del 40 por ciento de los cerca de 30.000 emails enviados o recibidos por Clinton se encontraron al menos cuatro que contenían información que el Gobierno había clasificado como secreta.
La información fue clasificada en el periodo en que los correos fueron enviados, según el inspector general, Charles McCullough.
"Esta información clasificada nunca debería haberse transmitido por un sistema personal desclasificado", dijo McCullough el viernes en un comunicado conjunto con su homólogo en el Departamento de Estado, Steve Linick.
La información aún permanece clasificada, dijo el comunicado.
  • Los emails en cuestión nos están entre aquellos que el Departamento de Estado, que planea publicar eventualmente tanta información como la ley permita, ya se han hecho públicos.
  • Clinton ha dicho que no había información clasificada en sus emails, una gran parte de los cuales entregó el año pasado al Departamento de Estado.
Fuente: Reuters

COMISIÓN EUROPEA. Oculta bajo llave manual del posible Grexit , con 200 puntos clave

La CE oculta bajo llave un manual sobre la posible salida de Grecia del euro, con 200 puntos clave. 
La Comisión Europea ha redactado en las últimas semanas un extenso informe que contendría los pasos a seguir y las consecuencias de una posible salida de Grecia del euro, según ha informado el diario griego Kathimerini en su edición digital.
Este informe, que comprende unas 200 preguntas y respuestas sobre el futuro de Grecia fuera de la eurozona, se encontraría en una caja fuerte a pocos metros de la oficina del presidente de la Comisión Europea, Jean-Claude Juncker, en el piso 13 del edificio Berlaymont de Bruselas.
El documento fue recopilado a finales del mes de junio por un equipo de 15 personas, muchas de ellas directamente implicadas en las negociaciones sobre el tercer rescate a Grecia y su contenido recoge algunas consecuencias sociales "potencialmente devastadoras", según el medio heleno, que podrían emerger si Grecia abandona o es expulsada de la moneda única y, casi por descontado, del acuerdo Schengen que regula los desplazamientos transfronterizos.
Según el medio, Juncker explicó en persona la existencia de este informe así como su contenido al primer ministro griego, Alexis Tsipras, antes de la cumbre de Jefes de Estado y de Gobierno de la eurozona de la semana pasada en Bruselas y que culminó con la aprobación de duras medidas para reformar la economía griega a cambio de un tercer rescate.
La última opción
  • El diario describe un estado de consternación entre los responsables de redactar el informe. "Nadie se podía creer que las cosas hubieran llegado a ese punto", explican al medio fuentes europeas, que hablan con absoluta certeza de que un 'Grexit' desembocaría en un caos social sin parangón en un país de la Unión Europea. "Si este plan se materializara alguna vez, se escucharía el ruido de los tanques en las calles de Atenas", llegó a declarar una de estas fuentes al diario.
  •  Esta semana, el presidente del Consejo Europeo, Donald Tusk, reconoció que las conversaciones del pasado fin de semana estuvieron a punto de colapsar por las diferencias entre la canciller Angela Merkel y el primer ministro griego Alexis Tsipras sobre la cuantía de un fondo de privatización para Grecia, una de las condiciones para iniciar un tercer rescate.
  •  "Cuando Tsipras y Merkel solicitaron un descanso, tenía la sensación de que estábamos a punto de fracasar", declaró Tusk. La diferencia de pareceres residía en una distancia de 2.500 millones de euros. "En ese momento les dije que si las negociaciones terminaban sin resultado, estaba dispuesto a anunciar que Europa iba a quedarse al borde de la catástrofe por 2.500 millones de euros", relató Tusk al diario heleno.
  •  Fuentes europeas bajo el anonimato han comentado las declaraciones de Tusk. "Parecía que (Merkel y Tsipras) estaban buscando una excusa para romper las negociaciones. No solo fue un momento muy peligroso; fue también genuino, una reacción a la fatiga y la frustración que ambos sentían", indicaron al 'Kathimerini'.
Fuente: Publico.es

TURQUÍA. Restablecerá acceso a Twitter tras eliminar imágenes de atentado

Turquía levantará en breve el bloqueo de acceso a Twitter después de que la red de microblogs eliminó imágenes relacionadas a un atentado suicida perpetrado por el grupo radical Estado Islámico, dijo el miércoles a Reuters un alto funcionario local.
Varios proveedores de Internet habían bloqueado anteriormente el acceso a Twitter para cumplir con una sentencia judicial que evita la distribución de imágenes del ataque de hace dos días en el pueblo de Suruc, cerca de la frontera con Siria.
La explosión, que dejó al menos 27 muertos, tuvo lugar semanas después de que Turquía desplegó tropas y equipamiento adicional en partes de su frontera con Siria, preocupada por el riesgo de propagación en momentos en que se intensifican los enfrentamientos entre fuerzas kurdas, grupos rebeldes, tropas del Gobierno sirio y militantes de Estado Islámico.
Fuente: Publico.es

PIRATERIA. Subsidiaria Boeing podría estar interesada en hackear redes Wi-Fi desde drones

 La hackeada empresa italiana dedicada a comercializar software espía y sistemas de vigilancia, Hacking Team, estuvo abocada a un proyecto orientado a intervenir comunicaciones inalámbricas, instalando malware desde el aire.
Esta función fue demostrada a la industria internacional de la defensa durante la feria IDEX (International Defense Exposition and Conference) realizada en Abu Dhabi en febrero de este año. La tecnología habría despertado interés en la empresa Insitu, subsidiaria estadounidense del fabricante de aviones Boeing, que desarrolla vehículos aéreos no tripulados para la industria de la defensa.
El contacto entre ambas empresas quedó al descubierto mediante filtraciones de correo electrónico, obtenido durante la reciente intervención de Hacking Team, escribe el sitio Firstlook.org.
Un ingeniero de Insitu habría escrito en un correo a Hacking Team, fechado en abril de este año: “Vemos el potencial de integrar su capacidad de hackear redes Wi-Fi en un sistema aéreo, y nos interesa continuar las conversaciones con el fin de obtener información más detallada, incluyendo la posibilidad de transportar carga útil, como asimismo detalles sobre volumen, peso y especificaciones del sistema Galileo”.
Galileo es el nombre dado por Hacking Team a su sistema de vigilancia remota de computadoras personales y teléfonos inteligentes. Según el propio catálogo de la empresa, el sistema es invisible para los usuarios, y está diseñado además para eludir antivirus y cortafuegos. Y La correspondencia filtrada desde Hacking Team, consistente de más de un millón de correos electrónicos, ha sido indexada por el sitio Wikileaks.
En otro documento filtrado, firmado por el fundador de Hacking Team, Marco Valleri, se describe un programa de desarrollo de nuevas soluciones, que incluyen una versión en miniatura de un producto denominado “Inyector Táctico de Redes (TNI)”. Esta herramienta es descrita como un componente de hardware diseñado para instalar malware en redes inalámbricas. Uno de los elementos destacados en el informe es la posibilidad de transportar el hardware, o caja, en vehículos aéreos no tripulados, para intervenir redes Wi-Fi desde el aire, o a grandes distancias. Es decir, el sistema hace innecesario que el operador esté físicamente cerca del objetivo, escribe Firstlook.
Según la fuente, no es posible concluir si el diálogo entre Hacking Team y la subsidiaria de Boeing prosperó y resultó en un acuerdo de cooperación real. La información que puede deducirse del correo electrónico disponible indica que, al parecer, la cooperación habría sido suspendida después de discrepancias sobre qué contrato de confidencialidad debía ser aplicado al proyecto.
Fuente: dirioti.com

MEERKAT. Posibilita retransmitir vídeo en tiempo real con una cámara GoPro

Si con Meerkat ya era posible convertir nuestra vida en un Reality Show y retransmitir en directo actividades mundanas como comer o hacer la compra, ahora también será posible hacer sufrir a los espectadores con escenas en tiempo real de un descenso en esquí por la montaña o de un vuelo en parapente. La aplicación para iOS es compatible con las cámara de acción GoPro desde ayer mismo.
Así lo ha afirmado Meerkat en su cuenta oficial de Twitter, tras hacer un primer anuncio durante la conferencia VidCon para creadores de vídeo 'online', que se celebra anualmente en California. La aplicación de vídeo en 'streaming' permitirá ahora a los propietarios de una cámara de acción GoPro retransmitir directamente desde la misma en lugar de desde la cámara de un teléfono móvil.
UPDATE: You can now stream from @GoPro!! ?????? #ShakeIt ?? pic.twitter.com/R2ABeAmYrs
 — Meerkat (@AppMeerkat) julio 23, 2015
Se trata de la primera vez que Meerkat permite realizar 'streaming' desde un 'gadget' que no sea un 'smartphone' o una 'tablet', lo que proporcionará una mejor calidad de imagen, no tanto de sonido, y ayudará a preservar la vida de la batería del teléfono móvil.
Para iniciar la transmisión en vivo desde la cámara, bastará con conectar un modelo GoPro3 (o GoPro4, con la próxima actualización de la aplicación) con un iPhone u otro dispositivo móvil con iOS y abrir la aplicación de vídeo.
Este movimiento forma parte de la estrategia de Meerkat para competir con Periscope, que además de superarle en popularidad, tiene la ventaja de estar integrado en Twitter. La compatibilidad con las cámaras GoPro es la última apuesta de la compañía tras la opción de sincronizar con perfiles de Facebook y la opción de cambiar la transmisión en vivo a otro usuario para que realice un cameo.
Por el momento, la compatibilidad de GoPro con Meerkat no está disponible para dispositivos Android, aunque se prevé que lo esté en un breve período de tiempo.
Fuente: Europa Press

GOOGLE VOICE. Sus transcripciones ahora son un 49% más precisas

Las transcripciones de mensajes de voz de Voice han puesto de los nervios a más de uno usuario hasta el punto de que Google ha anunciado una mejora para su servicio que hará que las transcripciones sean un 49 por ciento más precisas.
"Abres las transcripciones de tus mensajes de voz en Google Voice para encontrar que en ocasiones no son completamente inteligibles. O, graciosamente inteligibles. De cualquier forma, puede que no sea el mensaje que el emisor quería dejarte", ha reconocido Google en un comunicado.
Con la intención de corregir los fallos del servicio, Google solicitó a los usuarios que compartieran algunos de los mensajes que habían recibido y ahora ha anunciado que ha mejorado el sistema de buzón de voz en Voice y también en Project Fi -la operadora móvil virtual de la compañía-.
El resultado, según ha explicado Google, es el incremento de la precisión en las transcripciones en un 49 por ciento, que, además, llegará a los usuarios que ya usen Voice sin que tengan que hacer nada para recibir la mejora.
Fuente: Europa Press

AMAZON. Servicios de computación en nube serían el principal motivo de su crecimiento

Las acciones de Amazon.com Inc subieron casi un 10 por ciento el viernes sumando unos 22.000 millones de dólares a la capitalización de mercado de la empresa, por el sorpresivo impulso del negocio de computación en nube a las ganancias trimestrales del comercio electrónico.
La capitalización de mercado de la empresa se disparó a más de 245.000 millones de dólares, superando a la de Wal-Mart Stores, la mayor minorista del mundo.
Las ventas de las operaciones de computación en nube o remota -Amazon Web Services (AWS)- casi se duplicaron en el segundo trimestre, una señal de que el negocio está en camino de ofrecer ganancias sostenibles para la minorista por internet, dijeron analista de Wall Street.
Los márgenes operativos de la unidad subieron a un 21,4 por ciento desde un 7,7 por ciento.
"Las ventas de productos de Amazon son el pan, pero AWS es la mantequilla", dijo en una nota Michael Pachter, analista de Wedbush Securities, que subió su precio objetivo para el título un 21 por ciento a 700 dólares.
Amazon se ganó la ira de los inversores el año pasado por gastar demasiado en su teléfono Fire Phone y en el dispositivo Fire TV, que no entusiasmaron a los consumidores.
Fuente: Reuters

NSA. Publica herramienta para Linux dedicada a mejorar la seguridad de las redes

Después del caso de espionaje que se descubrió el pasado año parece complicado que la NSA publique una herramienta de estas características y sobre todo para ayudar a los usuarios y empresas a mejorar la seguridad de sus redes. Esta suite es Open Source y está disponible para las distribuciones Linux.
Bajo el nombre de SIMP ( en inglés Systems Integrity Management Platform) el código fuente de la aplicación se encuentra disponible para ser descargado desde GitHub. Muchos usuarios aún no dan crédito de este anuncio y creen que tras esta aplicación se encuentra un método para conseguir acceso de una forma mucho más sencilla a los equipos de los usuarios.
Sin embargo, desde la organización gubernamental manifiestan que se trata de una aplicación que ayudará a los gobiernos, empresas y particulares a defenderse de una forma mucho más eficaz de los ataques informáticos de los hackers.
La NSA detalla la compatibilidad de SIMP
  • A pesar de mencionar con anterioridad que la aplicación es compatible con las distribuciones Linux, desde ésta han confirmado que también es compatible con Red Hat Enterprise y CentOS.
  • Pero en Linux los usuarios disponen de una gran cantidad de vías y alternativas para dotar a su sistema operativo de una seguridad adicional, por lo que es probable que pocos opten por recurrir a esta herramienta, sobre todo teniendo en cuenta quién ha sido el desarrollador de la misma, vamos, que sería como poner al zorro a cuidar a las gallinas.
Fuente: The Hacker News

Los antivirus nos protegen de los virus, pero ¿quién protege a éstos de la NSA?

La NSA norteamericana y su homóloga británica, la GCHQ, han estado trabajando para poder saltarse la seguridad de algunos populares antivirus y empresas de seguridad online como Kaspersky para poder ser capaces de infiltrarse en sus redes y espiar a sus usuarios, según los últimos documentos secretos revelados por Edward Snowden y publicados  por The Intercept.
Según estos documentos, las agencias de espionaje han estado utilizando la ingeniería inversa para tratar de encontrar vulnerabilidades en los antivirus y poder infiltrarse y obtener datos de los usuarios monitorizando las comunicaciones entre la aplicación y los servidores, mientras que también han estado leyendo los correos electrónicos de las empresas responsables para conseguir información sobre virus y vulnerabilidades.
Así han trabajado la NSA y la GCHQ
  • The Intercept ha obtenido esta información después de que Snowden les facilitase una solicitud del 2008 de la GCHQ, en la que se solicitaba la renovación de su permiso para realizarle la ingeniería inversa al antivirus de Kaspersky, aunque no han podido encontrar ningún documento posterior en el que se aclare si consiguieron encontrarle alguna vulnerabilidad o no.
  • Con la ingeniería inversa, las empresas o los desarrolladores tratan de obtener la información o el diseño de un software o hardware a partir de un producto final, tratando de entender cómo está hecho y qué es lo que le hace funcionar. Se le llama inversa teniendo en cuenta que lo normal sería primero saber cómo desarrollar algo antes de ponerse a hacerlo.
  • Para estas agencias, ser capaces de conseguir comprometer la seguridad de estos antivirus de renombre era sumamente importante, ya que tanto los usuarios como los propios sistemas operativos suelen confiar en ellos más que en cualquier otro software, y eso se acaba traduciendo en unos mayores privilegios de acceso a los archivos más vitales del sistema.
  • Además, las agencias de espionaje también han estado interceptando las comunicaciones de Kaspersky y otras empresas para obtener información privilegiada sobre las nuevas y mayores amenazas descubiertas, y así poder utilizarla para infectar otros equipos antes de que los antivirus se actualicen con soluciones para ellos.
Empresas antivirus vs agencias gubernamentales
  • Esta guerra entre las agencias de espionaje de algunos gobiernos como la NSA o la GCHQ y las empresas responsables de software anti-virus no es nueva, y según unos han ido comprometiendo la seguridad de estos softwares, sus responsables han contraatacado exponiendo los malwares creados por las agencias de diferentes gobiernos.
  • Una de las compañías de seguridad que más duro ha estado jugando contra los hackers gubernamentales ha sido precisamente la rusa Kaspersky, que en los últimos años ha colaborado en el descubrimiento y la publicación de información sobre diferentes amenazas como Flame, Gauss, Stuxnet, o algunos más recientes como Regin.
  • De hecho, Kaspersky ha sido acusada en más de una ocasión de colaborar con las agencias de inteligencia rusas, y aunque es verdad que lo ha hecho abiertamente con organismos internacionales en casos de delitos cibernéticos, no se han probado colaboraciones directas con el FSB ruso de la misma manera que Snowden desveló que empresas como Microsoft, Google, Yahoo, Facebook, Apple, AOL y PalTalk sí parecen haberlo hecho con la NSA.
Fuente:  The Intercept

Mac OS X Yosemite . Fallo de seguridad expone estos equipos frente a hackers

La seguridad de los sistemas operativos siempre está expuesta a las críticas de los usuarios y expertos de seguridad. Aunque es bastante frecuente que hablemos de Windows, en esta ocasión es Mac OS X Yosemite el protagonista con un fallo de seguridad que permitiría que los ciberdelincuentes tomasen el control del sistema operativo.
Esta vulnerabilidad fue reportada por un investigador alemán el pasado martes, permitiendo a los atacantes la capacidad de acceder a los datos almacenados en el equipo y la posibilidad de ejecutar comandos con privilegios de administrador del sistema. Teniendo en cuenta que el problema reviste cierta gravedad, a estos hay que sumar que Apple aún no ha tomado cartas en el asunto y todavía no existe una solución al problema, ni se atisba a corto plazo.
La aparición de este problema radica en que los de Cupertino añadieron una variable de entorno que es la que posibilita la utilización de esta, afectando únicamente a Mac OS X Yosemite, por lo que las versiones anteriores del sistema operativo de Apple no están afectadas. Por lo tanto, son la 10.10.4 y la 10.10.5 las que de momento se pueden ver expuestas a esta vulnerabilidad.
El problema de Mac OS X Yosemite se puede paliar
  • Ante la falta de respuestas por parte los de Cupertino, un desarrollador ha decidido crear un código que permite minimizar los efectos de esta vulnerabilidad, para la cual existen exploits cuyo código entra en un tweet, por muy sorprendente que parezca:
  • Aquellos que estén interesados en solucionar esta vulnerabilidad o paliar los efectos de esta hasta que Apple publique una actualización pueden descargar esta solución momentánea desde el siguiente enlace.
Fuente: The Hacker News

APPLE. Lanza una actualización de 'firmware' para los MacBook Pro del 2015

Apple ha lanzado una nueva actualización de 'Firmware' para los MacBook Pro fabricados en 2015. La actualización está ya disponible en la App Store y la compañía recomienda su instalación cuanto antes para evitar más problemas.
   La compañía de Cupertino sacó a las tiendas este pasado mayo una renovación de sus MacBook Pro que vino con un grave problema de fábrica: es posible que los archivos que estuviesen almacenados en la memoria flash del ordenador se corrompieran. El fallo no afecta a la totalidad de los dispositivos fabricados, sino solo a algunos de ellos.
Con esta actualización, parece que el problema se resuelve completamente, por lo que Apple ha avisado de que todos los usuarios con este modelo de MacBook Pro deberían instalarlo tan pronto como sea posible para evitar posibles fallos.
   La actualización saltará en estos modelos de 2015 a modo de aviso o notificación en tu App Store en cuanto enciendas el ordenador. De no ver el aviso, puedes ir directamente al sitio web de soporte de Apple e instalar manualmente la actualización de 'firmware' tu mismo.
Fuente: Europa Press

GOOGLE PLAY STORE. Sus controles de seguridad fueron superados por Hacking Team

En esta ocasión, Google también se ha visto afectado de forma involuntaria, ya que el grupo de Hacking Team logró introducir malware en la tienda de aplicaciones Google Play Store evitando los filtros de seguridad existentes.
Hasta que se ha destapado esta noticia, la aplicación falsa BeNews y propiedad de los ciberdelincuentes ha estado disponible para su descarga. 
La aplicación BeNews estaba diseñada para llegar al terminal del usuario y utilizar una vulnerabilidad disponible en el sistema operativo Android para escalar privilegios de ejecución y utilizar los recursos disponibles en el sistema operativo, ofreciendo control total sobre el dispositivo y los datos contenidos en él.
Hacking Team creó una aplicación básica que después mutó en otra muy distinta
·      El motivo por el cual las reglas de la tienda de aplicaciones no detectaron esta como código malicioso fue la ausencia de este: el grupo de hackers creo una aplicación que al llegar al equipo del usuario se transformaría. El código básico fue el que se publicó en la tienda de aplicaciones y una vez este se instalaba en el terminal procedía a la descarga de código adicional que es el que caracterizaba la amenaza malware.
Fuente: MalwareTips

HACKING TEAM. Verificación de no estar infectado por su malwware en equipos Windows

Las empresas de seguridad están actualizando sus herramientas frente al malware desarrollado por Hacking Team. Ahora, expertos en seguridad han publicado una herramienta para comprobar si nuestro equipo está afectado.
Esta utilidad, que ha sido verificada por compañías de seguridad de cierto renombre como Kaspersky, posee las definiciones de 40 ejecutables que se han considerado como una amenaza para la seguridad de los equipos informáticos.
Teniendo en cuenta que Hacking Team pudo saltarse los controles de seguridad de la Google Play Store y publicar una aplicación que posteriormente descargaba código malware, conviene tener en cuenta estas amenazas para el sistema operativo Windows cuyo código ha visto la luz.
Hacking Team también poseía malware para Mac OS X y Linux
  • Tal y como ya hemos indicado con anterioridad, la mayoría de las amenazas estaban destinadas a afectar a Windows pero existe una minoría desarrollada para Linux y Mac OS X.
  • Es para este segundo para el que existe una herramienta que se puede descargar desde aquí http://www.net-security.org/secworld.php?id=17560  y que permite analizar el equipo en busca de posibles puertas traseras y capaz de detectar las vulnerabilidades desarrolladas por este grupo de hackers.
  • En lo referido a cifras, todo parece apuntar que un total de 40 afectarían a los sistemas de los de Redmond y entre 10-15 a Linux y Mac OS X.
Fuente: MalwareTips

PORN CLICKER. Troyano para Android detectado por ESET de nuevo en Google Play

La compañía de seguridad ESET ha descubierto que el troyano Porn Clicker, que se instalaba de forma automática al descargar una versión falsa de la popular aplicación Dubsmash en Google Play, se encuentra ahora oculto en otras 51 aplicaciones diferentes. El número total de descargas de estas 51 aplicaciones es de 100.000 por lo que hay un gran número de dispositivos Android infectados por este troyano.
El laboratorio de ESET especializado en malware para dispositivos móviles, ha comprobado cómo los ciberdelincuentes ya no utilizan únicamente la aplicación Dubsmash como cebo. La razón de no usar esta aplicación es que Google detectó que un desarrollador había subido una aplicación falsa infectada, y por tanto la eliminaron rápidamente de Google Play. Esto ocurrió en múltiples ocasiones y es que el mismo desarrollador del troyano, subía la aplicación nuevamente cada vez que Google la eliminaba. ESET ha señalado que en menos de 3 meses, el desarrollador subió la aplicación maliciosa un total de 24 veces, siempre que ocurría esto se reportaba a Google y la compañía eliminaba de nuevo la amenaza.
Actualmente el troyano Porn Clicker se encuentra en otras aplicaciones de juegos muy populares como por ejemplo Clash of Clans 2, Subway Surfers 2 y 3, Minecraft e incluso juegos que simulan ser el popular GTA (Grand Theft Auto). Asimismo no sólo se han centrado en los juegos más populares sino que también han instalado este troyano en aplicaciones falsas de descargas.
Según un investigador de malware de ESET, es muy fácil reconocer las aplicaciones infectadas debido a que siempre son subidas a la tienda Google Play por el mismo desarrollador utilizando Android/Clicker con una función que permite saltarse los filtros de malware de Google.
Fuente: Redeszone.net

DYRE. Peligroso troyano afecta a 17 bancos españoles

Según el grupo de seguridad X-Force de IBM se ha detectado una nueva configuración más peligrosa que las anteriores que está afectando en estos momentos a la banca española. Dyre ha puesto sus ojos sobre 17 bancos españoles y varias filiales de bancos europeos residentes en España. 
Dyre, es un peligroso troyano que busca infectar diferentes entidades bancarias a lo largo de todo el mundo desde donde poder redirigir las transacciones hacia sus propias cuentas y robar los credenciales de acceso de los clientes a la banca online. 
Aprovechando su nueva configuración también está atacando a varios bancos de otros países de habla española como Chile, Colombia o Venezuela.
Modus Operandi de este malware
  • El funcionamiento de este troyano es muy similar al de cualquier RAT. Su forma de distribución es principalmente mediante SPAM. Cuando la víctima lo ejecuta este se instala en el sistema, mediante técnicas muy complicadas de detectar y eliminar, y desde allí empieza a trabajar. Lo primero que hace es robar los credenciales de acceso de la víctima mediante páginas web bancarias falsas.
  • Una vez con los credenciales se empiezan a utilizar técnicas de ingeniería social para conseguir otros datos bancarios (número de tarjeta, códigos de seguridad, etc). Una vez empieza a trabajar el propio troyano empieza a realizar ataques DDoS con el fin de ocultarse y dificultar la investigación.
En poco tiempo este troyano se ha convertido en el segundo troyano bancario más peligroso y extendido de toda la red, justo por detrás de Neverquest y dos puestos por encima del conocido Zeus. 
IBM ha facilitado toda la información posible de este troyano a los responsables de seguridad con el fin de que estos puedan proteger sus infraestructuras lo mejor posible y se puedan paliar los ataques con el mayor éxito posible.
Fuente: Security Intelligence

MongoDB. Fallo de configuración de la bases de datos compromete 600TB

Según un grupo de investigadores de seguridad los administradores de sistemas que han estado utilizando versiones no actualizadas y sin parches de MongoDB han estado exponiendo sus datos debido a un fallo en la configuración por defecto de estas bases de datos. Se calcula que la cantidad de datos que están comprometidos por utilizan bases de datos MongoDB mal configuradas es de alrededor de 600TB.
MongoDB es un software de base de datos NoSQL desarrollado y distribuido como software gratuito y de código abierto. A diferencia de otros tipos de bases de datos este guarda los datos como estructuras JSON con un esquema dinámico, siendo así mucho más fácil de integrar en muchas aplicaciones. 
Este software de bases de datos lleva en el mercado desde 2007 y cuenta con un gran número de usuarios, sin embargo, si los administradores de sistemas no revisan a fondo la configuración es posible que estén exponiendo las bases de datos en Internet.
Recursos afectados
  • Todas las versiones de MongoDB anteriores a 2.4.14 
Detalle e Impacto de la vulnerabilidad
  • Como todas las versiones de MongoDB anteriores a 2.4.14 escuchan por defecto la IP 0.0.0.0; lo cual podría permitir a usuarios no autorizados acceder a las bases de datos sin restricciones de red.
  • Esta vulnerabilidad fue reportada hace más de 3 años y fue considerada “crítica”, sin embargo no fue solucionada hasta hace dos años. Las versiones más actualizadas de 2.4, aunque cambian este parámetro, configuran su valor como “bind_ip 127.0.0.1“, una configuración también demasiado restrictiva y que termina por exponer los datos si los administradores de sistema no modifican manualmente el fichero de configuración para restringir el acceso a su base de datos.
No es la primera vez que un fallo expone las bases de datos de MongoDB
  • No es la primera vez que esto ocurre. El pasado mes de febrero un grupo de investigadores alemanes descubrieron que alrededor de 40.000 bases de datos de este software estaban abiertas en la red permitiendo que cualquier usuario pudiera acceder a su información.
  • Las bases de datos de MongoDB son muy utilizadas por grandes y prestigiosas compañías como eBay, Sourceforge, The New York Times y LinkedIn. Aunque estas compañías sí que tienen sus bases de datos actualizadas y bien configuradas, la mayoría del resto de usuarios utilizan versiones no actualizadas y vulnerables que están exponiendo sus datos en la red.
Recomendación
  • Se recomienda a todos los administradores de este software de bases de datos que se aseguren de tener instalada la última versión (3.0.2 de abril de 2015) o por lo menos una versión superior a la 2.6.7 para evitar seguir con las bases de datos abiertas en la red.
Fuente: Techworm

RC4. Si se utiliza en web con HTTPS ó usan WPA con TKIP, seguridad comprometida de usuarios

En febrero la IETF había recomendado no utilizar el cifrado RC4 en las negociaciones TLS ya que no se considera seguro debido a una serie de vulnerabilidades críticas que pueden llegar a romper la seguridad de este cifrado. Ahora han conseguido llevar a la práctica con éxito los ataques que hasta ahora eran meramente teóricos.
Atacando las conexiones HTTPS con RC4
  • Cuando nosotros visitamos una web con el protocolo HTTPS, si el servidor permite el algoritmo de cifrado RC4 seremos vulnerables a ataques que permitirán descifrar toda nuestra información. En la mayoría de situaciones donde se usa RC4, el cliente está completamente expuesto a ataques como por ejemplo el descifrado de las cookies web que normalmente están “protegidas” por el protocolo HTTPS.
  • Si un usuario malintencionado es capaz de descifrar una cookie web de un cliente, es realmente sencillo acceder al servicio con esa cookie que hemos robado ya que simplemente tenemos que inyectarla en el navegador y presionar F5 para entrar en él, no es necesario el uso de usuarios y contraseñas, únicamente la cookie capturada es suficiente para acceder al servicio como si fuéramos un usuario legítimo.
  • El ataque que permite descifrar una cookie en máximo 75 horas, aunque han conseguido un promedio de 52 horas en ataques reales. Por este motivo, se recomienda cerrar sesión en los sitios donde hayamos iniciado sesión, ya que al cerrar sesión la cookie que nos han robado no la podrán utilizar.
  • Cuando la víctima visita una página web sin protocolo HTTPS, el atacante puede inyectar en nuestra comunicación con la web un JavaScript malicioso y provocará que la víctima envíe cookies a través de la red. Monitorizando todas las cookies que se envían, una lista de valores correspondientes a la cookie se podrían recuperar y probando una a una se podría encontrar la correcta, todo ello de forma automatizada.
Recomendación para estar seguros en HTTPS
  • Para navegar con mayor seguridad, la única recomendación que os podemos hacer es deshabilitar el soporte para RC4 en nuestro navegador web, si una página web sólo permite cifrado RC4 no podremos entrar en la web, pero a cambio sabremos que estamos protegidos de cualquier posible ataque. Si además sólo permites el uso de TLS 1.2 estarás aún más protegido ya que utilizan una suite de cifrados mucho más segura y que además proporcionan mayor rendimiento.
WPA con cifrado TKIP también vulnerable
  • Si en nuestra red inalámbrica utilizamos WPA con TKIP y no con AES, también seremos vulnerables a un ataque que permitiría conseguir la contraseña de acceso a la red inalámbrica y también cualquier paquete enviado y recibido por un cliente determinado. Según las pruebas realizadas, este ataque se podría conseguir en apenas una hora. Cualquier protocolo que por debajo utilice RC4 se considera vulnerable.
Recomendación para las redes Wi-Fi
  • La principal recomendación para asegurar nuestra red inalámbrica es usar WPA2 y cifrado AES, nunca deberemos usar TKIP, de hecho está retirado por la Wi-Fi Alliance y los nuevos routers inalámbricos no permiten poner este tipo de cifrado si usamos Wi-Fi N o Wi-Fi AC.
Más información
Fuente: Redeszone.net

RC4. Bloqueo del cifrado inseguro en Google Chrome y Firefox

Recientemente han aparecido en la red una serie de exploit que aprovechan varias debilidades en este cifrado y que puede permitir a piratas informáticos o a usuarios malintencionados forzar y comprometer el tráfico a través de este algoritmo desde los principales navegadores web.
RC4 es un tipo de cifrado que se aplica a nuestra conexión al acceder a determinadas páginas web y generalmente sólo se utiliza cuando la conexión mediante otros algoritmos falla.
En este post vamos a ver cómo bloquear todas las conexiones RC4 en los navegadores Firefox y Google Chrome de manera que cuando intentemos conectarnos a una web que utilice este cifrado vulnerable automáticamente esta se bloquee protegiendo nuestra conexión.
Bloquear el cifrado RC4 en Google Chrome
Si utilizamos el navegador Google Chrome o cualquier otro basado en él podemos bloquear estas conexiones por defecto añadiendo un parámetro en el acceso directo de nuestro escritorio.
Para ello buscamos el icono del navegador y abrimos el menú de propiedades del mismo con el botón derecho.
En las opciones del acceso directo podremos ver una entrada llamada “Destino”. Al final de la misma, tras las comillas, debemos añadir lo siguiente:
  • –cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
Abrimos el navegador desde este acceso directo (o lo reiniciamos si ya estaba abierto) y nuestra conexión estará protegida bloqueando por defecto las conexiones RC4 inseguras.
Bloquear el cifrado RC4 en Firefox
Si somos usuarios de Firefox este proceso es algo más sencillo. Lo único que debemos hacer es entrar en el menú de configuración tecleando about:config en la barra de direcciones y escribir en la barra de búsqueda RC4.
Lo único que nos queda por hace res hacer doble click sobre las siguientes entradas para que su valor cambie a “false”:
  • security.ssl3.ecdhe_ecdsa_rc4_128_sha
  • security.ssl3.ecdhe_rsa_rc4_128_sha
  • security.ssl3.rsa_rc4_128_md5
  • security.ssl3.rsa_rc4_128_sha
Una vez que tenemos los valores anteriores en “false” reiniciamos el navegador y ya podremos navegar seguros con la certeza de que no se establecerá ninguna conexión RC4.
Comprobar si nuestro navegador es vulnerable a las conexiones RC4
  • Podemos comprobar fácilmente si nuestro navegador está protegido o es vulnerable desde el siguiente enlace. Esta página intenta establecer una serie de conexiones RC4 diferentes que, de tener éxito, nos mostrará un mensaje indicando que nuestro navegador es vulnerable.
  • Si las conexiones no se realizan podremos ver cómo nuestro navegador está correctamente configurado para bloquear por defecto las conexiones inseguras RC4.
Fuente: ghacks

eCOMMERCE. Videoconferencias para comprar online en tiendas

Vento.TV es una herramienta gratuita que ofrece una mejor experiencia de 'ecommerce' a las pymes
El comerciante la instala fácilmente en su web y el cliente solo tiene que pulsar el botón de contacto, con la máxima garantía de anonimato
Los comercios tradicionales y las pequeñas empresas de servicios rivalizan cada día con los grandes operadores del 'ecommerce', como Amazon, y se enfrentan a barreras como la falta de confianza de los clientes o la complejidad de determinadas ventas online. Con el objetivo de superar estas limitaciones surge Vento.TV.
Esta herramienta permite incluir en la web de cualquier compañía un botón de contacto, de forma que el visitante, con un click y sin registrarse, puede iniciar una videoconferencia para que el vendedor resuelva sus dudas, le muestre productos en detalle o le aconseje con total movilidad y en tiempo real.
Según sus creadores, es sencilla de instalar, gratuita y está disponible para PC, tablet y 'smartphone'. Está diseñada como complemento a la realidad cotidiana de cualquier negocio, sea cual sea su actividad o dimensiones. "Fruterías, tiendas de moda y calzado, hoteles, farmacias, inmobiliarias, clínicas, fontaneros, etc., encuentran en Vento.TV una oportunidad que pone en valor su fuerza de ventas, también en el mundo online", dicen desde la compañía.
Sin altas ni registro
  • Pese a toda la conectividad, la herramienta apuesta por la privacidad del usuario. Así, el visitante de una web siempre mantiene su anonimato y si decide utilizar Vento.TV no tiene que facilitar números de teléfono, email ni rellenar cuestionarios. Además, se mostrará a cámara solo cuando así lo desee. Asimismo, el sistema permite la movilidad ya que el negocio y usuario pueden conectarse desde cualquier lugar desde sus móviles.
  • La sencillez es otro de los puntos fuertes de la aplicación. La configuración necesaria en el caso del vendedor es sencilla, intuitiva y accesible, "y se realiza en apenas 5 minutos sin equipos adicionales o complejas programaciones", dice la empresa. Por su parte, el cliente únicamente tiene que pulsar el enlace del botón de contacto.
Fuente: eldiariomontanes.es

WORDPRESS. Actualización de seguridad 4.2.3

Wordpress ha publicado una actualización de seguridad que corrige una vulnerabilidad XSS, que ha sido catalogada de Importancia: 5 - Crítica
Recursos afectados
  • Las versiones 4.2.2 y anteriores están afectadas por esta vulnerabilidad
Detalle de la actualización e Impacto potencial de la vulnerabilidad solventada
  • La actualización soluciona un fallo de seguridad XSS que permite a un usuario con perfil "Author" o "Contributor" comprometer el sistema.
  • También se corrige un problema que permite a un usuario con permisos de suscriptor crear borradores.
  • Adicionalmente, esta actualización soluciona 20 errores existentes desde la versión 4.2
Recomendación
  • Actualizar a versión 4.2.3
Más información
Fuente: Incibe.es

VULNERABILIDAD. Ejecución remota de código a través de Microsoft Font Driver

Microsoft ha informado de una grave vulnerabilidad en todas las versiones de Microsoft Windows que puede ser aprovechada para ejecutar código de manera remota en los sistemas afectados, catalogada de Importancia: 5 - Crítica
Recursos afectados
  1. Windows Vista
  2. Windows Server 2008
  3. Windows 7
  4. Windows Server 2008 R2
  5. Windows 8 and Windows 8.1
  6. Windows Server 2012 and Windows Server 2012 R2
  7. Windows RT and Windows RT 8.1
Detalle e Impacto  de la vulnerabilidad
  • El fallo, reportado por Google Project Zero y FireEye, se produce en el componente Windows Adobe Type Manager Library por la gestión incorrecta de fuentes OpenType.
  • Un atacante puede explotar la vulnerabilidad para tomar el control del sistema afectado de manera que pueda realizar, entre otras, las siguientes acciones: instalar programas, visualizar, eliminar o modificar información, crear cuentas con permisos totales, etc.
  • Para ello, es necesario que previamente convenza a un usuario para que abra un documento especialmente manipulado o visite una página web no confiable que contenga fuentes OpenType.
Recomendación
Más información
Fuente: Incibe.es

MICROSOFT . Vulnerabilidades sin parchear en Internet Explorer

Zero Day Initiative (ZDI) de TippingPoint es una compañía que comunica a los fabricantes ciertas vulnerabilidades, las cuales mantiene como 0-day hasta pasado un plazo de 120 días, tras el cual publica abiertamente dichos fallos de seguridad si el fabricante todavía no ha desarrollado un parche, catalogadas de Importancia: 4 - Alta
En este caso, se han publicado 4 vulnerabilidades en Microsoft Internet Explorer para las que todavía se espera un parche por parte de Microsoft.
Recursos afectados
  • Microsoft Internet Explorer
Detalle e Impacto  de la vulnerabilidades
  • Vulnerabilidad de use-after-free en CTreePos. -Esta vulnerabilidad permite ejecución remota de código si se visita una página web maliciosa.
  • Vulnerabilidad de use-after-free en CCurrentStyle.- Esta vulnerabilidad permite ejecución remota de código si se visita una página web maliciosa.
  • Vulnerabilidad de use-after-free en CAttrArray.- Esta vulnerabilidad permite ejecución remota de código si se visita una página web maliciosa.
  • Acceso a memoria fuera de rango en CTableLayout::AddRow.- Esta vulnerabilidad tambien afecta a Windows Phone, y permite ejecución remota de código si se visita una página web maliciosa.
Recomendación
  • Todavía no existe una solución para estos problemas.
  • Actualizaremos este aviso cuando el fabricante haga público el parche.
Más información
Fuente: Incibe.es

CISCO. Diferentes vulnerabilidades en multiples de sus dispositivos

Cisco ha publicado actualizaciones para diversos productos que solucionan varias vulnerabilidades, catalogadas de Importancia: 5 - Crítica
Recursos afectados
Vulnerabilidad en el control de acceso
  • Application Policy Infrastructure Controller (APIC), anteriores a 1.1(1), 1.0() y 1.0(4o)
  • Cisco Nexus 9000 Series ACI Mode Switches, anteriores a Release 11.1(1j) y 11.0(4o)
Denegación de servicio en servidor TFTP
  • Cisco IOS
  • Cisco IOS XE
Cambio de contraseña sin autorización
  • Cisco Unified MeetingPlace Web Conferencing, todas las versiones
Detalle de la actualización e Impacto potencial de la vulnerabilidad solventada
  1. Vulnerabilidad en el control de acceso.- Un fallo en la administración de configuraciones de cluster permite a un atacante obtener privilegios root debido a una implementación incorrecta de los controles de acceso.
  2. Denegación de servicio en servidor TFTP.- Un atacante sin autenticación podría causar remotamente una denegación de servicio como consecuencia de la incorrecta gestión de memoria en los dispositivos afectados.
  3. Cambio de contraseña sin autorización.- La funcionalidad de cambio de contraseñas está mal implementada, lo que permite a un atacante remoto sin autenticar cambiar la contraseña de cualquier usuario, y obtener un control total sobre el software.
Recomendación
Más información
Fuente: Incibe.es

GOOGLE. Lanza Chrome 44 y corrige 43 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 44. Se publica la versión 44.0.2403.89 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 43 nuevas vulnerabilidades.
Según el aviso de Google entre las mejoras se incluyen nuevas APIs de extensiones y de aplicaciones. También numerosos cambios en la estabilidad y rendimiento.
 Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 43 nuevas vulnerabilidades, solo se facilita información de 19 de ellas (12 de gravedad alta, seis clasificados como media y uno de nivel bajo).
 Desbordamientos de buffer en pdfium y en expat, alguna configuración permitía la ejecución de archivos inmediatamente después de su descarga, UXSS en blink y en Chrome para Android y corrupción de memoria en skia. También múltiples problemas por uso de memoria después de liberarla en IndexedDB, pdfium, blink, accesibilidad y por una terminación inesperada de procesos GPU. 
 Otros problemas corregidos corresponden a salto de CSP, salto de SOP con CSS, lectura de memoria sin inicializar en ICU, falsificación de URLs mediante archivos pdf y fuga de información en el auditor XSS. Los CVE asignados van del CVE-2015-1270 al CVE-2015-1288.
 También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1289).
 Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de casi 40.000 dólares en recompensas a los descubridores de los problemas.
 Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

MICROSOFT. Publica actualización fuera de ciclo

Microsoft ha publicado el boletín de seguridad MS15-078 fuera de su ciclo habitual de actualizaciones para solucionar una vulnerabilidad "crítica" en las fuentes OpenType, que podría permitir la ejecución remota de código arbitrario.
 Este boletín resuelve una vulnerabilidad (con CVE-2015-2426) en Windows Adobe Type Manager Library al tratar de forma incorrecta fuentes OpenType específicamente diseñadas. El fallo podría permitir la ejecución remota de código arbitrario si el usuario abre un documento o visita una página web maliciosa con fuentes OpenType incrustadas.
El problema afecta a sistemas Vista, Windows 7, Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2008 y Windows Server 2012. La vulnerabilidad fue descubierta a primeros de mes por Google Project Zero y FireEye que reportaron el problema de forma responsable y Microsoft lo ha corregido rápidamente.
 Esta actualización puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. En el boletín, Microsoft también ofrece contramedidas para mitigar el fallo. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
·         Microsoft Security Bulletin MS15-078 - Critical. Vulnerability in Microsoft Font Driver Could Allow Remote Code Execution (3079904). https://technet.microsoft.com/en-us/library/security/MS15-078
·         Hacking Team Leak Uncovers Another Windows Zero-Day, Fixed In Out-Of-Band Patch. http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-leak-uncovers-another-windows-zero-day-ms-releases-patch/
Fuente: Hispasec

26 de julio de 2015

SECTOR DIGITAL. Marketing Online, SEO, web móvil y eCommerce los perfiles más demandados

Para el año 2020, la UE espera que se creen cerca de 500.000 puestos de trabajo alrededor de la economía digital. Pero, también estima como muchos de estos puestos del sector TIC no podrán cubrirse debido a la escasez de profesionales cualificados.
La perspectiva en el sector digital en España apunta en la misma dirección y se consolidan nuevos puestos surgidos para dar respuesta a las necesidades de crecimiento a las que se enfrenta el sector. De hecho, según los datos del Observatorio eCommerce y del informe "Perspectivas eCommerce 2015", más del 80% de los negocios online en España miran el futuro con optimismo y esperan crecer a corto plazo. De hecho, cerca de la mitad (44%) prevé aumentar sus ventas más de un 10%.
El informe apunta como una de las apuestas claras del sector para afrontar el futuro con éxito el empleo, tanto vía directa con el emprendimiento o bien a través de la contratación de personal. De hecho, una amplia mayoría de negocios online estima ampliar su plantilla de trabajadores. En este sentido, casi un 60% de los responsables de comercios electrónicos encuestados (frente al 51% del informe del año anterior) se está planteando la posibilidad de contratar de uno a más de dos puestos de trabajo.
Los datos - basados en una encuesta realizada entre más de 4.500 tiendas online - muestran las necesidades que marcarán la demanda de especialistas. El 58% de las empresas del sector cuentan con una web adaptada al móvil y el restante 39% de los encuestados planea adaptarla. En cuanto al marketing online, el 25% planea aumentar su presupuesto hasta un 10% y el 28% más del 10%. Además, aunque es una necesidad que se ha estabilizado, continúan siendo más los negocios online (53%) que apuestan por mejorar su estrategia de marketing que los que no. Por otro lado, 59% de los eCommerce encuestados apuntan como el SEO sigue siendo una de las principales fuente de tráfico hacia su web, lo que hace de este recurso de marketing algo todavía importante hoy. "Las empresas demandan puestos de gestión de eCommerce, especializados en SEO, SEM, analistas web y funciones relacionadas con gestión móvil", comenta Roberto Palencia de la Escuela de Negocios Foro Economía Digital (FED).
Claves para aumentar la empleabilidad en el sector digital
  • La evolución digital implica que aquellos que quieran optar a un puesto de trabajo en esta creciente demanda deban estar formándose constantemente y desarrollando nuevas aptitudes profesionales. Las empresas necesitan expertos en áreas que son prácticamente nuevas para ellos y se encuentran muchas veces ante la dificultad de encontrar los profesionales con conocimiento específico.
  • Además, apuntan algunas claves adicionales para conseguirlo. "Formación especializada ya sea online o presencial, posibilidad de acceder a eventos donde se fomente el networking y puesta en común de conocimientos y experiencias del sector así como la posibilidad de relacionarse y conocer profesionales del sector para obtener contactos de cara a lograr puestos de trabajo. Acceder a formación continua y reciclaje para asegurar que se está continuamente informados y formados sobre las últimas tendencias, posibilidad de practicar y facilidades para mejorar la marca personal también ayudan empujar la carrera".
Fuente: Puro Marketing.com

LOVEMARKS. Cinco características comunes en todas lasy las marcas que levantan pasiones

Los consumidores no solo las sienten y no solo las tienen cerca de ellos, sino que además les son fieles
Leyendo "LoveMarrks. El futuro más allá de las marcas", de Kevin Roberts, el CEO de Saatchi&Saatchi y creador del concepto, podremos visualizar mejor en qué consiste ser una lovemark y también cuáles son los puntos que pueden indicarnos que una marca es algo más que una simple marca. 
Las lovemarks tienen unas cuantas cosas en común que las separan del resto:
  1. Son marcas emocionales.- Posiblemente la primera y más llamativa diferencia entre las lovemarks y las marcas está en el mundo de los sentimientos. Las lovemarks generan emociones y su relación con los consumidores se basa en los sentimientos. Sus clientes no las ven únicamente como algo que les ofrece un servicio sino que en realidad sienten por ella algo. Las aman, un valor muy difícil de cuantificar a la hora de hacer hojas de balances pero que es lo que explica que ante ellas se comporten de una forma diferente. Ahí está, por ejemplo, la consumidora que asocia El Corte Inglés a sus días de infancia y por eso no duda en afirmar que la galería comercial es 'su casa'.
  2. Son marcas cercanas .- Y ante alguien a quien quieres no puedes permanecer lejano y frío: las relaciones con nuestros seres queridos están marcadas por los sentimientos y por la proximidad. Lo mismo sucede con las lovemarks. Entre el consumidor y la marca se crea una intimidad y eso, apunta Roberts, es lo que hace que la experiencia de marca y producto sea algo importante para el consumidor, a pesar de que en realidad la está compartiendo con millones de personas.
  3. Son marcas que despiertan lealtad.- Los consumidores no solo las sienten y no solo las tienen cerca de ellos, sino que además les son fieles. Es lo que hace que ante la inmensa oferta de yogures en el supermercado siempre se recurra a aquella marca concreta o lo que empuja a ir a un establecimiento concreto cuando se necesita un producto exacto. Esa ferretería en la que tienen la solución concreta para todos los problemas del hogar y que tu madre siempre recomienda ante el primer signo de contratiempo doméstico no es más que un ejemplo cercano de una lovemark.
  4. Son marcas que llegan por los sentidos.- Estas marcas no se quedan con lo obvio y no se relacionan con el consumidor únicamente a través de lo esperable. Un detergente limpia la suciedad y es letal con las manchas, cierto es. Ese es seguramente su principal valor de marca. Pero eso no es lo que hará que los consumidores amen a una marca exacta de diferente. El que el olor de su fragancia se asocie a ciertos valores y a ciertas experiencias memorables es lo que hará que sea una marca distinta a las demás.
  5. No son "propiedad" de las empresas.- Legalmente, las marcas son propiedad de quien las fabrica, las comercializa, quien tiene la patente. En el caso de las lovemarks, las marcas no son solo propiedad de las empresas. Los consumidores también las sienten como propias y así las personalizan y se apropian de ellas. Si la empresa las cambia, los consumidores se sienten atacados y reivindican la vuelta del producto. Y si otro consumidor las critica las defenderán como algo propio y suyo.
Fuente: Puro Marketing.com

MARCA SOCIAL. Las seis claves y premisas para lograrlo

El camino entre no estar en redes sociales y alcanzar la madurez en social media atraviesa al menos seis etapas
  1. Planificación.- Es el momento en el que todo empieza y cuando las empresas están comenzando a trabajar en lo que se va a convertir en una empresa social. Como cuentan desde Simply Measured, pueden ser simplemente un par de empleados escuchando lo que ocurre en las redes sociales y detectando a los influencers que le interesan a la marca. Es el estado embrionario, por así decirlo, el comienzo de la aventura. Es cuando la marca simplemente escucha y aprende. Y aunque las marcas suelen abandonar rápidamente este estadio en busca de mejores posiciones, no hay que olvidar lo que importa en esta etapa y no hay que dejar nunca de escuchar y de aprender.
  2. Presencia.- Una vez que se ha aprendido de que va eso de las redes sociales y se ha escuchado lo que está ocurriendo es el momento de clavar la pica en Flandes. Las empresas empiezan a posicionarse en el universo social media. Esta es la etapa en la que las marcas empiezan a hacer sus perfiles en diferentes redes sociales y a hacer sus pinitos en la conversación. En esta etapa aún importan poco las métricas y no se preocupan por el retorno de la inversión. Aquí simplemente se quiere entrar en el espacio social media. Aún así, y como recomiendan desde Simply Measured, es importante tener claro que se van a necesitar ciertos recursos antes de lanzarse a la aventura y asegurarse el tenerlos para así no acabar hipotecando toda la estrategia futura por culpa de este paso.
  3. Compromiso.- La marca ha escuchado y ha empezado a hablar en redes sociales. Ahora está preparada para dar un paso más en la escala de la madurez en social media. En este momento, las redes sociales se convierten en una parte más y en una relevante de la atención al cliente de la compañía. Facebook o Twitter dejan de ser simplemente un lugar en el que hablar y se convierten en un espacio en el que se responden dudas, se lanzan mensajes para consumidores específicos y se empieza a abordar la presencia en redes sociales en términos realmente de negocio. Además, se empieza a crear un organigrama y a definir las responsabilidades de los trabajadores que se encargan de las redes sociales.
  4. Formalización.- Las redes sociales dan un paso más allá y las empresas empiezan a organizarse para escalar sus esfuerzos y conseguir así ir un paso más allá. Las marcas quieren ir más allá de simplemente conversar en redes sociales y su interés en el entorno social media se profundiza. Se crean normas de gestión que determinan que departamento debe hacer cada cosa y se crean políticas en social media. Además, se empieza a entrenar a los trabajadores de la firma y se empiezan a emplear herramientas tecnológicas para ser más eficientes en la gestión de las redes sociales.
  5. Estrategia.- En el paso anterior se han sentado las bases, ahora se van a aprovechar los logros realizados. Las compañías empiezan a ser negocios sociales o, lo que es lo mismo, sus directivos han visto ya el potencial del social media y quieren integrarlo en todos los departamentos y en la toma de decisiones. Además, las redes sociales empiezan a ser empleadas dentro de la propia compañía con fines internos.
  6. Convergencia.- Este es el paso final y cuando se alcanza este punto se ha logrado ya llegar a la verdadera madurez en social media. Como apuntan en el listado, cuando se llega a este momento la empresa ya no tiene que estar todo el rato hablando de integrar las redes sociales en el negocio, del mismo modo que no tiene que convencer a sus empleados para que usen el teléfono para comunicarse cada día.
Fuente: Puro Marketing.com